Любая информационная система, включая банковскую, наиболее уязвима изнутри. По статистике, 80% всех атак осуществляются за счет подсматривания, перехвата или подбора паролей, и около 70% из них происходят при участии служащих банка. Это становится возможным также из-за недостаточной надежности существующих механизмов аутентификации пользователей, самым распространенным из которых до сих пор остается пара «логин и пароль».
Новый функционал продукта Diasoft FA# Beans включает в процесс осуществления доступа к системе банка дополнительный этап аутентификации, который не позволит производить действия от имени другого пользователя даже при условии знания его данных для входа. Вариантов дополнительной аутентификации, как аппаратных, так и программно-аппаратных, может быть множество.
В качестве стартового предложения разработчики «Диасофт» внедрили алгоритм аутентификации временными паролями (TOTP), которые действуют всего одну минуту. Пароли генерируются мобильным приложением, не использующим для своей работы сетевой обмен, что обеспечивает высокий уровень защиты от перехвата информации извне.
Весомым преимуществом такого метода является централизованное управление. При утере устройства или рассинхронизации приложения администратор сбрасывает параметры привязки пользователя в системе. Для восстановления возможности доступа сотруднику достаточно скачать приложение по QR-коду, а затем активизировать его. Такой подход избавит банк от финансовых и временных затрат на подключение новых пользователей и восстановление второго фактора доступа для уже существующих сотрудников. Особенно полезна дополнительная аутентификация при использовании ранее выпущенной опции «Доменная аутентификация», дополнительный фактор нивелирует риск допуска злоумышленника в АБС вместо отлучившегося сотрудника.
Игорь Легезин, директор направления «Информационная безопасность» компании «Диасофт»: «На сегодняшний день многофакторная аутентификация TOTP-алгоритмом протестирована и готова к работе. Мы работаем и над использованием иных устройств и уникальных признаков: специальных токенов с неизвлекамыми ключами, EMV банковских карт, токенов RSA и других устройств. Достаточно интересные результаты обещают биометрические методы подтверждения и проверки. Собственный штат высококвалифицированных программистов и сеть партнеров дают нам возможность воплотить в жизнь практически любой вариант, требующийся банку».